Menu Docs
Página inicial do Docs
/
MongoDB Atlas
/
Configure o acesso à IU
/
Autenticação
/
Federado

Configurar autenticação federada do Okta

Nesta página

  • Acesso necessário
  • Pré-requisitos
  • Procedimentos
  • Configurar Okta como provedor de identidade
  • (Opcional) Mapear uma Organização
  • (Opcional) Configurar opções avançadas de autenticação federada
  • Conecte-se no Atlas usando seu URL de acesso

Este guia mostra como configurar a autenticação federada utilizando Okta como seu IdP.

Após integrar o Okta e o Atlas, você poderá usar as credenciais da sua empresa para conectar no Atlas e em outros serviços de nuvens do MongoDB .

Observação

Se você estiver usando o aplicativo MongoDB Cloud integrado do Okta, poderá usar a documentação do Okta.

Se você estiver criando seu próprio aplicativo SAML, use os procedimentos descritos aqui.

Acesso necessário

Para gerenciar a autenticação federada, você deve ter acesso Organization Owner a uma ou mais organizações que delegam configurações de federação à instância.

Pré-requisitos

Para utilizar o Okta como um IdP para o Atlas:

  • Uma conta Okta.

  • Um nome de domínio personalizado e roteável.

Procedimentos

Durante todo o procedimento a seguir, é útil ter uma guia do navegador aberta no Atlas Federation Management Console e uma guia aberta na sua conta Okta.

Configurar Okta como provedor de identidade

1

Baixe seu certificado originação do Okta.

  1. Na sua conta do Okta, clique em Admin no canto superior direito para acessar o ambiente de administrador.

  2. No painel esquerdo, navegue até Applications -> Applications.

  3. Clique em Create App Integration. Selecione SAML 2.0 para o Sign-in method e clique em Next.

  4. Preencha o campo de texto App name com o nome do aplicativo desejado.

  5. Opcionalmente, adicione uma imagem de registro do logo e configure a visibilidade do aplicativo. Clique em Next.

  6. Na tela Configure SAML, insira as seguintes informações:

    Campo
    Valor
    Single sign-on URL
    http://localhost
    Audience URI
    urn:idp:default

    Importante

    Esses são valores de espaço reservado e não se destinam ao uso em produção. Você os substituirá em uma etapa posterior.

    Deixe os outros campos vazios ou defina para seus valores padrão e clique em Next na parte inferior da página.

  7. Na tela Feedback, selecione I'm an Okta customer adding an internal app e clique em Finish.

  8. Na parte inferior da página, sob o título SAML Signing Certificates, localize o certificado mais recente com Status de Active- esse é o certificado que você acabou de criar.

    Clique em Actions e selecione Download certificate no menu suspenso. O certificado gerado é um arquivo .cert. Converta-o em um certificado .pem para uso posterior neste procedimento. Para fazer isso, abra um terminal de sua escolha e faça o seguinte:

    openssl x509 -in path/to/mycert.crt -out path/to/mycert.pem -outform PEM
2

Abra o Federation Management Console.

  1. No Atlas, acesse a página Organization Settings.

    1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

    2. Clique no ícone Organization Settings próximo ao menu Organizations.

      A página Configurações da organização é exibida.

  2. Em Federated Authentication Settings, clique em Open Federation Management App.

3

Informe as credenciais do Okta para Atlas.

  1. Clique em Identity Providers no painel esquerdo. Se você configurou anteriormente um IdP, clique em Add Identity Provider no canto superior direito da página, então clique em Setup Identity Provider. Se você ainda não configurou um IdP, clique em Setup Identity Provider.

  2. Na tela Configure Identity Provider, insira as seguintes informações:

    Campo
    Valor
    Configuration Name
    Etiqueta descritiva que identifica a configuração
    Issuer URI
    Fill with Placeholder Values
    Single Sign-On URL
    Fill with Placeholder Values
    Identity Provider Signature Certificate
    Certificado que você recebeu da Okta em uma etapa anterior
    Request Binding
    HTTP POST
    Response Signature Algorithm
    SHA-256

  3. Clique no botão Next para ver os valores da configuração do Okta.

  4. Clique em Finish.

4

Configure sua integração SAML.

  1. Na sua conta do Okta, retorne à página do seu aplicativo SAML e verifique se a aba General está selecionada.

  2. No painel SAML Settings, clique em Edit.

  3. Na página General Settings, clique em Next.

  4. Na tela Configure SAML, insira as seguintes informações:

    Campo de dados Okta
    Valor
    Single sign on URL

    Assertion Consumer Service URL do Atlas FMC.

    Caixas de seleção:

    • Check Use this for Recipient URL and Destination URL.

    • Limpe Allow this app to request other SSO URLs.

    Audience URI (SP Entity ID)
    Audience URI do Atlas FMC.
    Default RelayState

    Opcionalmente, adicione uma URL RelayState ao seu IdP para enviar usuários para uma URL que você escolher e evitar redirecionamentos desnecessários após o login. Você pode usar:

    Destino
    URL do RelayState
    MongoDB Atlas
    Login URL gerado para a configuração do seu provedor de identidade no aplicativo Atlas Federation Management.
    Portal de suporte do MongoDB
    https://auth.mongodb.com/app/salesforce/exk1rw00vux0h1iFz297/sso/saml
    MongoDB University
    https://auth.mongodb.com/home/mongodb_thoughtindustriesstaging_1/0oadne22vtcdV5riC297/alndnea8d6SkOGXbS297
    Fóruns da comunidade do MongoDB
    https://auth.mongodb.com/home/mongodbexternal_communityforums_3/0oa3bqf5mlIQvkbmF297/aln3bqgadajdHoymn297
    MongoDB feedback engine
    https://auth.mongodb.com/home/mongodbexternal_uservoice_1/0oa27cs0zouYPwgj0297/aln27cvudlhBT7grX297
    JIRA DO MONGODB
    https://auth.mongodb.com/app/mongodbexternal_mongodbjira_1/exk1s832qkFO3Rqox297/sso/saml
    Name ID format
    Não especificado
    Application username
    Email
    Update application username on
    Criar e atualizar

  5. Clique no link Click Show Advanced Settings na página de configuração Okta e garanta que os seguintes valores estejam definidos:

    Campo de dados Okta
    Valor
    Response
    Signed
    Assertion Signature
    Signed
    Signature Algorithm
    RSA-SHA256
    Digest Algorithm
    SHA256
    Assertion Encryption
    Unencrypted

  6. Deixe os Advanced Settings campos restantes em seu estado padrão.

  7. Role para baixo até a seção Attribute Statements (optional) e crie quatro atributos com os seguintes valores:

    Nome
    Formato do nome
    Valor
    Nome
    Não especificado
    user.firstName
    Sobrenome
    Não especificado
    user.lastName

    Importante

    Os valores na coluna Nome diferenciam maiúsculas de minúsculas. Digite-os exatamente como mostrado.

    Observação

    Esses valores podem ser diferentes se o Okta estiver conectado a um Active Directory. Para ter os valores apropriados, use os campos do Active Directory que contêm o nome, sobrenome e endereço de e-mail completo do usuário.

  8. (Opcional) Se você planeja utilizar o mapeamento de função, role para baixo até a seção Group Attribute Statements (optional) e crie um atributo com os seguintes valores:

    Nome
    Formato do nome
    Filtro
    Valor
    membro de
    Não especificado
    Correspondências regex
    .*

    Este filtro corresponde a todos os nomes de grupo associados ao usuário. Para filtrar os nomes de grupo enviados para Atlas ainda mais, ajuste os campos Filter e Value.

  9. Clique em Next na parte inferior da página.

  10. Na tela Feedback, clique em Finish.

5

Substitua os valores do espaço reservado no Atlas FMC.

  1. Na página do aplicativo Okta, clique em View Setup Instructions no meio da página.

  2. No Atlas FMC, navegue até a página do Identity Providers. Localize seu Okta e clique em Edit.

  3. Substitua os valores do espaço reservado nos seguintes campos:

    Campo de dados FMC
    Valor
    Issuer URI
    Identity Provider Issuer da página de instruções de configuração do Okta.
    Single Sign-on URL
    Identity Provider Single Sign-On URL da página de instruções de configuração do Okta.
    Identity Provider Signature Certificate
    Copie o X.509 Certificate da página Instruções de Configuração do Okta e cole o conteúdo diretamente.

  4. Clique em Next.

  5. Clique em Finish.

6

Atribua usuários ao seu aplicativo Okta.

  1. Na página do aplicativo Okta, clique na guia Assignments.

  2. Confirme que todos os usuários da sua organização do Atlas que utilizarão o Okta estão inscritos.

Mapeie seu domínio

O mapeamento do seu domínio para o IdP permite que o Atlas saiba que os usuários do seu domínio devem ser direcionados para o Login URL da configuração do seu provedor de identidade.

Quando os usuários visitam a página de login do Atlas, eles inserem seu endereço de e-mail. Se o domínio de e-mail estiver associado a um IdP, ele será enviado para o URL de login para esse IdP.

Importante

Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.

Para fazer login usando um provedor de identidade alternativo, os usuários devem:

  • Inicie o login do MongoDB Cloud por meio do IdP desejado ou

  • Faça login utilizando o Login URL associado ao IdP desejado.

Utilize o Federation Management Console para mapear seu domínio para o IdP:

1

Abra o FMC.

  1. No Atlas, acesse a página Organization Settings.

    1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

    2. Clique no ícone Organization Settings próximo ao menu Organizations.

      A página Configurações da organização é exibida.

  2. Em Manage Federation Settings, clique em Open Federation Management App.

2

Insira informações de mapeamento de domínio.

  1. Clique em Add a Domain.

  2. Na tela Domains, clique em Add Domain.

  3. Insira as seguintes informações para o mapeamento do seu domínio:

    Campo
    Descrição
    Nome de exibição
    Etiqueta para identificar facilmente o domínio.
    Nome de domínio
    Nome de domínio para mapear.

  4. Clique em Next.

3

Escolha seu método de verificação de domínio.

Observação

Você pode escolher o método de verificação uma vez. Não pode ser modificado. Para selecionar um método de verificação diferente, exclua e recrie o mapeamento de domínio.

Selecione a guia apropriada com base no fato de estar verificando seu domínio fazendo upload de um arquivo HTML ou criando um registro DNS TXT:

Carregue um arquivo HTML com uma chave de verificação para atestar que o domínio é seu.

  1. Clique em HTML File Upload.

  2. Clique em Next.

  3. Baixe o arquivo mongodb-site-verification.html que o Atlas disponibiliza.

  4. Carregue o arquivo HTML em um site do seu domínio. Você precisa acessar o arquivo em <https://host.domain>/mongodb-site-verification.html.

  5. Clique em Finish.

Crie um registro DNS TXT com seu provedor de domínio para verificar se você é o proprietário do seu domínio. Cada registro DNS associa uma organização específica do Atlas a um domínio específico.

  1. Clique em DNS Record.

  2. Clique em Next.

  3. Copie o registro TXT fornecido. O registro TXT tem o seguinte formato:

    mongodb-site-verification=<32-character string>

  4. Faça login no seu provedor de nome de domínio (como GoDaddy.com ou networksolutions.com).

  5. Adicione o registro txt que o Atlas fornece ao seu domínio.

  6. Retorne ao Atlas e clique em Finish.

4

Verifique seu domínio.

A tela Domains exibe os domínios não verificados e verificados que você mapeou para o seu IdP. Para verificar seu domínio, clique no botão Verify do domínio de destino. O Atlas mostra se a verificação foi bem-sucedida em um banner na parte superior da tela.

Associe seu domínio ao seu provedor de identidade

Depois de verificar o domínio, use o Federation Management Console para associar o domínio ao Okta:

1

Clique em Identity Providers na navegação à esquerda.

2

Para o IdP que você deseja associar ao seu domínio, clique em Edit ao lado de Associated Domains.

3

Selecione o domínio que você deseja associar ao IdP.

4

Clique em Confirm.

Teste o mapeamento do seu domínio

Importante

Antes de começar a testar, copie e salve o URL do Modo Ignorar SAML para seu IdP. Use esse URL para ignorar a autenticação federada no caso de você ser bloqueado da sua organização Atlas.

Ao testar, mantenha sua sessão conectada ao Federation Management Console para garantir ainda mais contra bloqueios.

Para mais informações sobre Bypass SAML Mode, consulte Ignorar Modo SAML.

Use o Federation Management Console para testar a integração entre seu domínio e o Okta:

1

Em uma janela privada do navegador, navegue até a página de acesso do Atlas.

2

Insira um nome de usuário (geralmente um endereço de e-mail) com seu domínio verificado.

Exemplo

Se o seu domínio verificado for mongodb.com, use um endereço de e-mail do formulário username@mongodb.com.

3

Clique em Next. Se você mapeou seu domínio corretamente, será redirecionado ao seu IdP para autenticação. Após a autenticação bem-sucedida, você será redirecionado de volta para o Atlas.

Observação

Você pode ignorar a página de conexão do Atlas navegando diretamente para seu IdP Login URL.

(Opcional) Mapear uma Organização

Utilize o Federation Management Console para atribuir aos usuários do seu domínio acesso a organizações específicas do Atlas:

1

No Atlas, acesse a página Organization Settings.

  1. Se ainda não estiver exibido, selecione sua organização desejada no Menu Organizations na barra de navegação.

  2. Clique no ícone Organization Settings próximo ao menu Organizations.

    A página Configurações da organização é exibida.

2

Abra o Federation Management Console.

Em Manage Federation Settings, clique em Open Federation Management App.

3

Conecte uma organização ao Aplicativo de Federação.

  1. Clique em View Organizations.

    O Atlas exibe todas as organizações onde você é um Organization Owner.

    As organizações que ainda não estão conectadas ao Aplicativo de Federação têm o botão Connect na coluna Actions.

  2. Clique no botão Connect da organização desejada.

4

Aplique um Fornecedor de Identidade à organização.

Na tela Organizations do console de gerenciamento:

  1. Clique no Name da organização que você deseja mapear para um IdP.

  2. Na tela Identity Provider, clique em Apply Identity Provider.

    O Atlas direciona você para a tela Identity Providers, que mostra todos os IdPs que você vinculou ao Atlas.

  3. Para o IdP que você deseja aplicar na organização, clique em Add Organizations.

  4. No modal Apply Identity Provider to Organizations, selecione as organizações para as quais este IdP se aplica.

  5. Clique em Confirm.

5

Conecte uma organização ao Aplicativo de Federação.

  1. Clique em Organizations na navegação à esquerda.

  2. Na lista do Organizations, garanta que suas organizações desejadas agora tenham o Identity Provider esperado.

(Opcional) Configurar opções avançadas de autenticação federada

Você pode configurar as seguintes opções avançadas para autenticação federada para maior controle sobre seus usuários federados e fluxo de autenticação:

Observação

As seguintes opções avançadas para autenticação federada exigem que você mapeie uma organização.

Conecte-se no Atlas usando seu URL de acesso

Todos os usuários que você atribuiu ao aplicativo do Okta podem se conectar ao Atlas usando suas credenciais do Okta no Login URL. Os usuários têm acesso às organizações que você mapeou para seu IdP.

Importante

Você pode mapear um único domínio para vários provedores de identidade. Se você fizer isso, os usuários que fizerem login usando o console do MongoDB Cloud serão automaticamente redirecionados para o primeiro IdP correspondente mapeado para o domínio.

Para fazer login usando um provedor de identidade alternativo, os usuários devem:

  • Inicie o login do MongoDB Cloud por meio do IdP desejado ou

  • Faça login utilizando o Login URL associado ao IdP desejado.

Se você selecionou um role de organização padrão, os novos usuários que se conectam ao Atlas usando o Login URL terão o role que você especificou.

Voltar

Google Workspace

Próximo

PingOne